Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cuando se identifica una vulnerabilidad en una imagen de contenedor, tanto si se almacena en un registro de contenedor como si se ejecuta en un clúster de Kubernetes, es posible que los profesionales de seguridad puedan tener dificultades para rastrearla de nuevo a la canalización de CI/CD que originalmente la creó. Sin ese contexto, es difícil identificar al desarrollador responsable de corregir el problema. Microsoft Defender Cloud Security Posture Management (CSPM) incluye funcionalidades de seguridad de DevOps que permiten mapear las aplicaciones nativas de la nube desde el código hasta la nube. Como resultado, puede iniciar fácilmente los flujos de trabajo de corrección del desarrollador y reducir el tiempo necesario para corregir vulnerabilidades en las imágenes de contenedor.
Del código a la ejecución: requisitos técnicos previos
Se requieren los siguientes requisitos previos para establecer las relaciones del código con el tiempo de ejecución.
Requisitos previos generales (todos los métodos)
Los siguientes requisitos previos se aplican independientemente del método de asignación usado:
-
CSPM de Defender (Administración de posturas de seguridad en la nube) o Defender for Containers deben estar habilitados en el entorno de nube.
- Se incluye un conjunto limitado de capacidades de mapeo con Defender for Containers.
- Las imágenes de contenedor deben crearse mediante una canalización de CI/CD
- Las imágenes que se compilan e insertan manualmente no se admiten (en algunos casos, es posible que las imágenes compiladas o insertadas manualmente tengan asignación).
- Las imágenes de contenedor deben ser detectables por Defender for Cloud, ya sea por:
- Almacenarse en un registro de contenedor compatible o
- Ejecución en un entorno de Kubernetes compatible
Opción 1: Conexión del entorno de código a Defender for Cloud
Al conectar el entorno de código a Defender for Cloud, se desencadena automáticamente un conjunto de herramientas automatizadas. Estas herramientas no afectan a los flujos de trabajo de DevOps existentes y habilitan la asignación de código a tiempo de ejecución.
Nota:
- Actualmente compatible con Azure DevOps y GitHub
- Las imágenes de contenedor creadas e implementadas antes de la conexión pueden tener compatibilidad limitada
Más información:
Opción 2: Asignación basada en etiquetas de Docker
La asignación basada en etiquetas de Docker se basa en metadatos incrustados directamente en la imagen de contenedor en tiempo de compilación. Defender for Cloud extrae estos metadatos del manifiesto de imagen de OCI/Docker y lo usa para correlacionar la imagen con su repositorio de origen.
Más información:
- Especificación de anotaciones de imagen de Docker de OCI
- Incorporación de etiquetas OCI/Docker en Azure DevOps
- Adición de etiquetas en GitHub
-
Proporcionar manualmente etiquetas mediante la instrucción Dockerfile
LABEL
Nota:
- Este método no requiere un conector de DevOps.
- La asignación se realiza para entornos de Kubernetes cubiertos por Defender CSPM o Defender for Containers.
Opción 3: asignación basada en atestaciones de GitHub
La asignación basada en atestación usa metadatos de origen verificables criptográficamente generados durante los flujos de trabajo de GitHub Actions. Estas atestaciones vinculan imágenes de contenedor a su repositorio de origen exacto, commit e identificador de compilación.
Más información:
Verifique la asignación de su código al mapeo de tiempo de ejecución (Azure portal)
Después de compilar una imagen de contenedor en una canalización de integración continua y entrega continua de Azure DevOps e insertarla en un registro, consulte la asignación mediante Cloud Security Explorer:
Inicie sesión en Azure Portal.
Vaya a Microsoft Defender for Cloud>Cloud Security Explorer. La asignación de imágenes de contenedor puede tardar un máximo de 4 horas en aparecer en Cloud Security Explorer.
Para ver la asignación básica, seleccione Imágenes de contenedor>+>Enviadas por repositorios de código.
(Opcional) Seleccione + en Imágenes de contenedor para agregar otros filtros a la consulta, como Tiene vulnerabilidades para filtrar solo imágenes de contenedor con CVE.
Después de ejecutar la consulta, verá la asignación entre el registro de contenedor y la canalización. Seleccione ... junto al borde para ver más detalles.
Pasos siguientes
- Obtenga más información sobre Seguridad de DevOps en Defender for Cloud.
- Obtenga más información sobre la conversión del código al entorno de ejecución para obtener recomendaciones